web-dev-qa-db-fra.com

Devrais-je utiliser Suhosin pour PHP?

Suhosin peut être utilisé pour augmenter la sécurité de votre application PHP. Je peux vraiment voir l'utilisation de celui-ci lorsque vous utilisez des hôtes partagés, avec plusieurs personnes (éventuellement mal) exécutant leurs applications PHP là-bas.

Lorsque vous n'avez qu'une seule application Web, la vôtre, y a-t-il un avantage à l'aide de Suhosin?

web-applicationphpappsec
21
Peter Smit

À partir de 2012, Arch Linux et Debian semblent avoir largué Suhosin. Je dirais que c'est moins nécessaire et les poteaux de blog suivants citent de très bonnes raisons de ne pas l'utiliser (principalement liées à la compatibilité en amont et à des cycles de libération imprévisibles/non fiables):

8
zeitgeist

Personnellement, je dirige toujours Suhosin sur tous mes serveurs.

Mes principales raisons sont

  • Ajoute une fonctionnalité SHA256 () à PHP.
  • Certaines sont-elles vraiment bonnes en ce qui concerne le filtrage des téléchargements effectués via PHP.
  • Désactive une partie des Nasty PHP Fonctions comme Eval (). Ce qui est bon comme si vous ne l'utilisez pas très bien, vous ne pouvez jamais dire ce que les développeurs se lèveront.
  • En outre, toutes les autres raisons énumérées ici est une bonne raison de l'exécuter.

En regardant les résultats de référence pour SUHOSIN, la perte de performance est insignifiante au moins pour moi.

9
Mark Davidson

Je recommanderais d'utiliser Suhosin. Si vous "faites confiance à" votre code, vous ne pouvez pas faire confiance à PHP, cependant. Il y a beaucoup de vulnérabilités trouvées dans le passé dans l'interprète lui-même et on pense qu'ils ne vont pas simplement disparaître un jour. Suhosin vous protège des vulnérabilités plus "de bas niveau" telles que les débordements tampons et etc.

8
anonymous

La suhosine ajoute également l'algorithme de hachage de mot de passe de Blowfish aux plates-formes qui ne le soutiennent pas de manière native (je pense que seul BSD l'a nativement). Il est bien supérieur à MD5 et plus standardisé que le SHA====== Scalable, vous utilisez également un paramètre de configuration dans le cadre du sel à l'échelle logarithmique de la complexité du hachage, de la valeur par défaut est 4 ou 7, dans une plage de 0 à 31. Un réglage de 13 prend environ 60 secondes par hachage sur un Core2Duo 2.4GHz.

2
Allan Jude